Header Background
 
  •  ▸ 
  • Über uns  ▸ 
  • Wissensblog
 
 

One-Time Passwords (OTPs) in der IT-Sicherheit: Grundlagen, Einsatz und Grenzen in der modernen MFA-Strategie

One-Time Passwords (OTPs) sind seit Jahren ein zentraler Baustein für Multi-Faktor-Authentifizierung (MFA) – von VPN-Logins bis zu Admin-Zugängen. Gleichzeitig steigen Phishing- und Session-Angriffe, und Standards wie NIST SP 800-63 betonen zunehmend phishing-resistente Verfahren. Dieser Artikel ordnet OTPs technisch ein, zeigt typische Einsatzmuster und erklärt, wann Alternativen wie Passkeys sinnvoller sind.

Begriffserklärung

Was ist One-Time Passwords (OTPs)?

One-Time Passwords (OTPs) sind Einmalcodes, die nur für einen kurzen Zeitraum oder genau eine Anmeldung/Transaktion gültig sind. Ziel ist, das Risiko wiederverwendbarer Passwörter zu reduzieren: Selbst wenn ein OTP abgefangen wird, soll es nach kurzer Zeit oder nach einmaliger Nutzung wertlos sein. In der Praxis sind OTPs meist der „zweite Faktor“ zusätzlich zu einem Passwort oder als Bestandteil eines Step-up-Verfahrens für besonders sensible Aktionen (z. B. Zahlungsfreigaben).

Funktionsweise & technische Hintergründe

Technisch dominieren zwei standardisierte OTP-Familien:

HOTP (HMAC-based One-Time Password) arbeitet ereignisbasiert: Client und Server teilen ein Secret und einen Zähler. Aus Secret + Zähler wird per HMAC ein Wert berechnet, daraus wird ein kurzer numerischer Code abgeleitet. Der Zähler wird pro Ereignis inkrementiert.

TOTP (Time-based One-Time Password) ist die verbreitetere Variante in Authenticator-Apps. Statt eines Ereigniszählers dient ein Zeitfenster (typisch 30 Sekunden) als „Moving Factor“. Client und Server berechnen parallel aus Secret + Zeitfenster (wieder via HMAC) denselben Code. Eine kleine Zeitdrift wird serverseitig durch Akzeptanz mehrerer Zeitfenster toleriert.

Wichtig für den Betrieb sind drei Aspekte:

  • Secret-Handling: Secrets müssen wie kryptografische Schlüssel behandelt werden (Schutz im Client, HSM/verschlüsselte Datenhaltung im Server, Rotations-/Recovery-Prozesse).
  • Replay- und Rate-Limits: Serverseitig sind Fehlversuchsbegrenzung, Lockout-Strategien und Anomalieerkennung entscheidend, da OTP-Codes kurz sind und sonst online erraten werden können.
  • Kanaltrennung: „OTP per SMS/E-Mail“ ist nicht dasselbe wie App-/Token-basiertes TOTP. Out-of-band über Telefonnetze (PSTN/SMS/Voice) wird in NIST SP 800-63B als restricted behandelt und ist nur unter zusätzlichen Anforderungen empfohlen.

Anwendungsbeispiele in der Praxis

In Unternehmen sind OTPs häufig dort sinnvoll, wo schnelle Integration und breite Geräteunterstützung zählen:

  • VPN / Zero-Trust-Zugänge: TOTP als zweiter Faktor für Remote Access, oft kombiniert mit Conditional Access.
  • Privileged Access: Step-up-MFA bei Admin-Logins oder beim Zugriff auf produktive Cloud-Konsolen.
  • OT/Industrie und „Legacy“-Systeme: Wo moderne Authenticator-Protokolle fehlen, lässt sich OTP oft noch als Zusatzschutz integrieren.
  • Transaktionsfreigaben: Kurzlebige Codes für besonders kritische Aktionen (z. B. Stammdatenänderungen, Zahlungs-Workflows).

Nutzen und Herausforderungen

Nutzen

  • Schnelle Einführung: TOTP ist breit unterstützt (Apps, Hardware-Token, viele IAM-Plattformen).
  • Skalierbarkeit: Token- und App-Rollout lässt sich zentral verwalten (Provisionierung, Sperrung, Ersatz).
  • Besser als Passwort allein: Ein gestohlenes Passwort reicht nicht mehr aus, um sich direkt anzumelden.

Herausforderungen

  • Phishing bleibt möglich: Angreifer können OTPs in Echtzeit abfragen und sofort weiterverwenden (Adversary-in-the-Middle/„MFA-Proxy“).
  • Betriebsaufwand: Geräteswechsel, verlorene Token, Zeitdrift, Seed-Management und Recovery erzeugen Supportlast.
  • Kanalrisiken bei SMS/Voice: SIM-Swapping, Umleitungen und Signalisierungsangriffe erhöhen das Risiko; daher die Einschränkungen in aktuellen Richtlinien.

Alternative Lösungen

Wenn Sie Phishing-resistente MFA priorisieren, sind Passkeys/FIDO eine strategisch starke Alternative: Statt geteiltem Secret nutzt das Verfahren asymmetrische Kryptografie (Schlüsselpaar), wobei der private Schlüssel auf dem Endgerät verbleibt und an die Domain gebunden ist. Das erschwert Phishing grundlegend.

Weitere Alternativen sind Push-MFA mit Number Matching (abhängig vom Anbieter), Smartcards/Zertifikate in Behördenumgebungen oder Hardware-Security-Keys für besonders kritische Rollen.

Fazit

One-Time Passwords (OTPs) sind weiterhin ein praxisnaher MFA-Baustein, insbesondere als TOTP via Authenticator-App oder Hardware-Token. Technisch basieren sie auf etablierten Standards (HOTP/TOTP) und lassen sich gut in viele IAM- und Legacy-Umgebungen integrieren. Gleichzeitig sind OTPs nicht automatisch phishing-resistent; moderne Angriffe können Einmalcodes in Echtzeit missbrauchen. Für höhere Schutzbedarfe sollten Organisationen daher OTPs gezielt einsetzen (z. B. für Übergangsphasen, bestimmte Use Cases) und parallel phishing-resistente Verfahren wie Passkeys/FIDO in die Zielarchitektur aufnehmen.

Autor: Michael Deinhard Autor

LinkedIn Profil von: Michael Deinhard Michael Deinhard

Artikel erstellt: 02.03.2026
Artikel aktualisiert: 02.03.2026

zurück zur Übersicht

 
 
 
Diese Seite weiterempfehlen:
0
Merkzettel öffnen
0
Besuchsverlauf ansehen
IT-Schulungen.com Control Panel